powerconnect-3348_Users Guide_ru-rs
.pdf
Один список ACL может содержать несколько записей ACE. Записи ACE в списке ACL применяются по схеме первого совпадения. Они обрабатываются последовательно, начиная с первой. Если пакет совпадает с классификацией ACE, выполняется действие ACE, и обработка списка ACL прекращается. Если соответствие не найдено, пакет отбрасывается (действие по умолчанию). Если нужно обработать несколько списков ACL, то действие по умолчанию применяется только после обработки всех этих списков. Действие по умолчанию пересылает на коммутатор весь разрешенный трафик, в том числе управляющий (например, трафик Telnet, HTTP или SNMP).
Менеджеры сети могут определить два типа списков ACL:
•IP ACL-относится только к пакетам IP. Все поля классификации связаны с IP-пакетами.
•MAC ACL - применяется к любому пакету, включая пакеты, не являющиеся IP-пакетами. Поля классификации основаны только на полях L2.
На входной порт с активным ACL поступают следующие пакеты:
•Пересылаемые
•Игнорируемые, и отправляется системное прерывание
•Игнорируемые, отправляется системное прерывание и входной порт отключается
Коммутатор PowerConnect 3324/3348 поддерживает до 128 списков ACL. Он также поддерживает до 248 записей ACE на один порт FE и позволяет определить до 120 записей ACE на один порт GE.
Настройка безопасности портов
Доступ пользователей сети к определенным портам или LAGs можно ограничить с помощью заблокированных портов. Заблокированный порт закрыт от пользователей с определенными MAC-адресами. Заблокированные порты можно включить только для статических MAC-адресов. Кроме того, функция безопасности Locked Port (Заблокированный порт) позволяет хранить список MAC-адресов в файле конфигурации. Этот список можно восстановить после перезагрузки устройства. MAC-адреса опознаются статически или динамически.
Пакеты, поступающие на заблокированный порт, пересылаются или отбрасываются, либо пакет отбрасывается, отправляется системное прерывание и входной порт отключается. Отключенные порты активизируются на странице Port Parameters (Параметры портов). Смотри "Определение параметров порта". Как открыть страницу Port Security (Безопасность портов):
•Выберите на панели дерева пункты Switch > Network Security > Port Security. Откроется страница Port Security (Безопасность портов).
Страница Port Security (Безопасность портов)
На странице Port Security (Безопасность портов) есть следующие поля:
•Interface (Интерфейс) - показывает выбранный тип интерфейса, на котором включен заблокированный порт.
¡Port (Порт) - показывает, что выбранный тип интерфейса - порт.
¡LAG - показывает, что выбранный тип интерфейса - элемент стека.
•Current Port Status (Текущее состояние порта) - показывает текущее состояние порта.
•Set Port (Установка порта) - показывает, заблокирован порт или нет. Возможные значения поля:
¡Unlocked (Не заблокирован) - отключает блокировку порта. Это значение по умолчанию.
¡Locked (Заблокирован) -блокирует порт.
•Action on Violation (Действие при нарушении) - показывает действие, которое выполняется в отношении пакетов, поступивших на заблокированный порт. Возможные значения поля:
¡Forward (Переслать) - пересылает пакеты от неизвестного источника, но MAC-адрес для них не определяется.
¡Discard (Отвергнуть) - отвергает пакеты от любого неизвестного источника. Это значение по умолчанию.
¡Shutdown (Завершить работу) - отвергает пакеты от любого неизвестного источника и блокирует порт. Порт остается заблокированным до активизации или перезагрузки устройства.
•Trap (Системное прерывание) - включает отправку системного прерывания. Возможные значения поля:
¡Enable (Включить) - включает отправку системных прерываний при получении пакетов на заблокированном порту.
¡Disable (Отключить) - отключает отправку системных прерываний при получении пакетов на заблокированном порту. Это значение по умолчанию.
•Trap Frequency (1-1000000) (Частота системных прерываний) - показывает время в секундах, которое проходит между системными прерываниями. Это поле относится только к заблокированным портам. Значение по умолчанию: 10 секунд.
Определение заблокированного порта:
1.Откройте страницу Port Security (Безопасность портов).
2.Выберите тип и номер интерфейса.
3.Определите поля Set Port, Action on Violation и Trap.
4.Нажмите кнопку Apply Changes (Принять изменения). Заблокированный порт будет добавлен в Port Security Table (Таблица безопасности портов), а устройство обновлено.
Вывод таблицы заблокированных портов:
1.Откройте страницу Port Security (Безопасность портов).
2.Нажмите кнопку Show All (Показать все). Откроется страница Port Security Table (Таблица безопасности портов). Поля страницы Port Security Table (Таблица безопасности портов) такие же, как на странице Port Security (Безопасность портов). Заблокированные порты также можно определить на странице Locked Ports Table (Таблица заблокированных портов) и на странице Port Security (Безопасность портов).
Страница Port Security Table (Таблица безопасности портов)
Помимо полей, имеющихся на странице Страница Port Security (Безопасность портов), на странице Port Security Table (Таблица безопасности портов) есть следующее дополнительное поле:
• Unit No. (Номер устройства) - показывает номер устройства, для которого выводится информация о безопасности порта.
Настройка безопасности заблокированных портов с помощью команд консоли
В следующей таблице приведены команды консоли, соответствующие полям настройки на странице Страница Port Security (Безопасность портов).
|
Команды консоли |
Описание |
|
|
|
|
shutdown |
Отключает интерфейсы. |
|
|
|
|
set interface active {ethernet интерфейс | port-channel |
Вновь активизирует интерфейс, отключенный по причинам |
|
номер_канала_порта} |
безопасности порта. |
|
|
|
|
port security <параметры> частота_системных_прерываний |
Блокирует функцию опознавания новых адресов для интерфейса. |
|
|
|
|
show ports security |
Выводит состояние блокировки для порта. |
|
|
|
Ниже приведен пример команд консоли: |
|
|
From 18.1.16 Console # show ports security
Port Action Trap Frequency Counter
---------------------------------------------
5/7 Discard Enable 100 88
7/8 Discard Disable
Определение списков ACL, основанных на IP-адресах
Страница Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах) позволяет администраторам сети определять списки управления доступом ACL, основанные на IP-адресах, и записи управления доступом ACE. Записи ACE служат фильтрами соответствия пакетов критерию пересылки. Как открыть страницу Add ACE to IP Based ACL:
• Выберите пункты Switch > Network Security > IP based ACL. Откроется страница Add ACE to IP Based ACL.
Страница Add ACE to IP Based ACL
На странице Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах) есть следующие поля:
•ACL Name (Имя ACL) - содержит список пользовательских ACL.
•New ACE Priority (Новый приоритет ACE) - определяет приоритет нового ACE. Записи ACE проверяются по схеме первого совпадения. Приоритет ACE определяет порядок этих записей в списке ACL.
•Protocol (Протокол) - включает создание нового ACE, основанного на конкретном протоколе.
•Source Port - показывает порт-источник, который соответствует пакетам. Включен, только если в списке Protocol выбран протокол TCP или UDP.
•Destination Port (Порт-приемник) - показывает порт-приемник, который соответствует пакетам. Включен, только если в списке Protocol выбран протокол TCP или UDP.
•Source IP Address (IP-адрес источника) - сопоставляет IP-адрес источника, на который адресованы пакеты, с конкретным ACE.
•Wild Card Mask (Маски ввода) - показывает Маску ввода для IP-адреса источника. Подстановочные символы используются для замены всего IPадреса или его части. Маски ввода указывают, какие биты используются, а какие игнорируются. Маска ввода 255.255.255.255 указывает, что все биты не важны. Маска ввода 00.00.00.00 указывает, что все биты важны. Например, если IP-адрес источника - 149.36.184.198, а маска ввода - 255.36.184.00, то первые два бита IP-адреса игнорируются, а используются последние два бита.
•Dest. IP Address (IP-адрес источника) - cопоставляет IP-адрес приемника, на который адресованы пакеты, с конкретным ACE.
•Wild Card Mask (Маска ввода) - показывает маску ввода для IP-адреса приемника. Подстановочные символы используются для замены всего IPадреса приемника или его части. Маски ввода указывают, какие биты используются, а какие игнорируются. Маска ввода 255.255.255.255 указывает, что все биты не важны. Маска ввода 00.00.00.00 указывает, что все биты важны. Например, если IP-адрес источника - 149.36.184.198,
амаска ввода - 255.36.184.00, то первые два бита IP-адреса игнорируются, а используются последние два бита.
•Match DSCP (Соответствие DSCP) - сопоставляет величину пакетов DSCP с конкретным ACE. При сравнении пакетов с записью ACE используется значение DSCP или значение приоритета пакета IP.
•Match IP-Precedence (Соответствие приоритета IP) - сопоставляет приоритет IP-пакетов с конкретным ACE. При сравнении пакетов с записью ACE используется значение DSCP или значение приоритета пакета IP.
•Action (Действие) - показывает действие передачи для нового ACE. Возможные значения поля:
¡Permit (Разрешить) - Пересылает пакеты, отвечающие критериям нового ACE.
¡Deny (Запретить) - отбрасывает пакеты, отвечающие критериям нового ACE.
¡Deny and Disable Port (Запретить и отключить порт) - отбрасывает пакет, отвечающий критериям нового ACE, и отключает порт, на который он был адресован. Порты активизируются вновь через настройку портов, см. раздел "Определение параметров порта".
Добавление списков ACL, основанных на IP-адресах:
1.Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).
2.Нажмите кнопку Add (Добавить). Откроется страница Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).
Страница Add IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах)
3.Определите поля ACL Name, New Ace Priority, Protocol, Source и Destination Port, Source и Destination IP Address, Match DSCP или Match IP Precedence и Action.
4.Нажмите кнопку Apply Changes (Принять изменения). Списки ACL, основанные на IP-адресах, будут определены. Если был определен новый приоритет записи ACE, о н добавляется в новый список ACL.
Присвоение ACE списку ACL, основанному на IP-адресах:
1.Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).
2.Выберите в раскрывающемся списке ACL Name (Имя ACL) нужный ACL.
3.Задайте значение поля New ACE Priority (Новый приоритет ACE).
4.Определите поля ACE No., Protocol, Source и Destination Port, Source и Destination IP Address, Match DSCP или Match IP Precedence и/или Action.
5.Нажмите кнопку Apply Changes (Принять изменения). Запись ACE будет присвоена списку ACL, основанному на IP-адресах.
Вывод записей ACE для указанных ACL:
1.Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).
2.Нажмите кнопку Show All (Показать все). Откроется страница ACEs Associated with IP-ACL (Записи ACE, связанные с ACL, основанным на IPадресах).
Страница ACEs Associated with IP-ACL (Записи ACE, связанные с ACL, основанным на IP-адресах)
Изменение записи ACE, основанной на IP-адресах:
1.Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).
2.Нажмите Show All (Показать все). Откроется страница ACEs Associated with IP-ACL (Записи ACE, связанные с ACL, основанным на IP-адресах).
3.Измените поля ACL Name, New Ace Priority, Protocol, Source и Destination Port, Source и Destination IP Address, Match DSCP или Match IP Precedence и Action.
4.Нажмите кнопку Apply Changes (Принять изменения). Записи ACE, основанные на IP-адресах, будут изменены, а устройство обновлено.
Удаление списков ACL:
1.Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).
2.Нажмите кнопку Show All (Показать все). Откроется страница ACEs Associated with IP-ACL (Записи ACE связанные с ACL, основанным на IPадресах).
3.Выберите ACL.
4.Установите флажок Remove ACL (Удалить ACL).
5.Нажмите кнопку Apply Changes (Принять изменения). Список ACL, основанный на IP-адресах, будет удален, а устройство обновлено.
Удаление записей ACE:
1.Откройте страницу Add ACE to IP Based ACL (Добавление ACE в ACL, основанный на IP-адресах).
2.Нажмите кнопку Show All (Показать все). Откроется страница ACEs Associated with IP-ACL (Записи ACE связанные с ACL, основанным на IPадресах).
3.Выберите ACE.
4.Установите флажок Remove (Удалить).
5.Нажмите кнопку Apply Changes (Принять изменения). Запись ACE, основанная на IP-адресах, будет удалена, а устройство обновлено.
Назначение записей ACE, основанных на IP-адресах, для списков ACL с помощью команд консоли
В следующей таблице приведены команды консоли, присваивающие записи ACE, основанные на IP-адресах, спискам ACL, которые аналогичны действиям страницы Add ACE to IP Based ACL.
Команды консоли |
Описание |
|
|
ip access-list имя |
Включает режим настройки списка доступа по |
|
IP-адресам. |
permit {any | протокол} {any | {источник маска_ввода_источника}} {any | {приемник |
Разрешает трафик, если соблюдены условия, |
маска_ввода_приемника}} [dscp dscp номер | ip-precedence приоритет_ip_пакета] |
определенные в операторе permit. |
|
|
deny [disable-port] {any| protocol} {any | {источник маска_ввода_источника}} {any | {приемник |
Запрещает трафик, если соблюдены условия, |
маска_ввода_приемника}} [dscp dscp номер| ip-precedence приоритет_ip_пакета] |
определенные в операторе deny. |
|
|
Ниже приведен пример команд консоли: |
|
Permit 00:00:bo:11:11:11 0:0:0:0:0:0 any VLAN 4
deny 00:00:bo:11:11:11 0:0:0:0:0:0 any VLAN 4
Определение ACL, основанных на MAC-адресах
На странице Add ACE to MAC Based ACL (Добавление ACE в ACL, основанный на MAC-адресах) администраторы сети могут задать Access Control Entry (Запись управления доступом, ACE) и Access Control Lists (Списки управления доступом, ACL), основанные на MAC-адресах. Записи ACE служат фильтрами соответствия пакетов критерию пересылки. Как открыть страницу Add ACE to MAC Based ACL:
• Выберите пункты Switch > Network Security > MAC based ACL. Откроется страница Add ACE to MAC Based ACL (Добавление ACE в ACL, основанный на MAC-адресах).
Страница Add ACE to MAC Based ACL (Добавление ACE в ACL, основанный на MAC-адресах)
На странице Add ACE to MAC Based ACL (Добавление ACE в ACL, основанный на MAC-адресах) есть следующие поля:
•ACL Name (Имя ACL) - содержит список пользовательских ACL.
•New ACE Priority (Новый приоритет ACE) - включает создание нового ACE и показывает приоритет ACE.
•Source MAC Address (MAC-адрес источника) - сопоставляет MAC-адрес источника, с которого адресованы пакеты, с ACE.
•Wild Card Mask (Маска ввода) - показывает маску ввода для MAC-адреса источника. Подстановочные символы используются для замены всего MAC-адреса источника или его части. Маски ввода указывают, какие биты используются, а какие игнорируются. Маска ввода FF:FF:FF:FF:FF:FF показывает, что нет важных битов. Маска ввода 00.00.00.00.00.00 указывает, что все биты важны. Например, если MAC-адрес источника - E0:3B:4A:C2:CA:E2, а маска ввода - 00:3B:4A:C2:CA:FF, то используются первые два бита MAC-адреса, а последние два игнорируются.
•Destination MAC Address (MAC-адрес источника) - сопоставляет MAC-адрес приемника, на который адресованы пакеты, с конкретным ACE.
•Wild Card Mask (Маска ввода) - показывает маску ввода для IP-адреса источника. Подстановочные символы используются для замены всего MACадреса приемника или его части. Маски ввода указывают, какие биты используются, а какие игнорируются. Маска ввода FF:FF:FF:FF:FF:FF показывает, что нет важных битов. Маска ввода 00.00.00.00.00.00 указывает, что все биты важны. Например, если MAC-адрес приемника - E0:3B:4A:C2:CA:E2, а маска ввода - 00:3B:4A:C2:CA:FF, то используются первые два бита MAC-адреса, а последние два игнорируются.
•VLAN ID (Идентификатор сети VLAN) - сопоставляет идентификатор сети VLAN пакетов с конкретным ACE.
•Action (Действие) - показывает действие передачи для ACE. Возможные значения поля:
¡Permit (Разрешить) - пересылает пакеты, отвечающие критериям ACE.
¡Deny (Запретить) - отбрасывает пакеты, отвечающие критериям ACE.
¡Shutdown (Завершение работы) - отбрасывает пакет, отвечающий критериям ACE, и отключает порт, на который он был адресован. Порты активизируются вновь через настройку портов; см. раздел "Определение параметров порта".
Добавление ACL, основанного на MAC-адресах:
1.Откройте страницу Add ACE to MAC Based ACL (Добавление ACE в ACL, основанный на MAC-адресах).
2.Нажмите кнопку Add (Добавить). Откроется страница Add MAC Based ACL (Добавление ACL, основанного на MAC-адресах).
Страница ACEs Associated with Mac-Based ACLs
3.Определите поля ACL Name, Source and Destination Address и Action.
4.Нажмите кнопку Apply Changes (Принять изменения). Список ACL, основанный на MACадресах, будет определен, а устройство обновлено.
Присвоение ACE списку ACL, основанному на MAC-адресах:
1.Откройте страницу Add ACE to MAC Based ACL (Добавление ACE в ACL, основанный на MAC-адресах).
2.Выберите в раскрывающемся списке ACL Name (Имя ACL) нужный ACL.
3.Задайте значение поля New ACE Priority (Новый приоритет ACE).
4.Определите поля ACL Name, VLAN ID, Source и Destination Address и Action.
5.Нажмите кнопку Apply Changes (Принять изменения). Запись ACE будет присвоена списку ACL, основанному на MAC-адресах.
Вывод записей ACE для указанных ACL:
1.Откройте страницу Add ACE to MAC Based ACL (Добавление ACE в ACL, основанный на MAC-адресах).
2.Нажмите кнопку Show All (Показать все). Откроется страница ACEs Associated with MAC ACL (Записи ACE, связанные с ACL, основанным на MACадресах).
Страница ACEs Associated with MAC ACL (Записи ACE, связанные с ACL, основанным на MAC-адресах)
Изменение записи ACE, основанной на MAC-адресах:
1.Откройте страницу Add ACE to MAC Based ACL (Добавление ACE в ACL, основанный на MAC-адресах).
2.Нажмите кнопку Show All (Показать все). Откроется страница ACEs Associated with IP-ACL (Записи ACE связанные с ACL, основанным на IPадресах).
3.Измените поля ACL Name, Source и Destination Address и Action.
4.Нажмите кнопку Apply Changes (Принять изменения). Запись ACE, основанная на MACадресах, будет изменена, а устройство обновлено.
Удаление списков ACL:
1.Откройте страницу Add ACE to MAC Based ACL (Добавление ACE в ACL, основанный на MAC-адресах).
2.Нажмите кнопку Show All (Показать все). Откроется страница ACEs Associated with MAC ACL (Записи ACE, связанные с ACL, основанным на MACадресах).
3.Выберите ACL.
4.Установите флажок Remove ACL (Удалить ACL).
5.Нажмите кнопку Apply Changes (Принять изменения). Список ACL, основанный на MACадресах, будет удален, а устройство обновлено.
Удаление записей ACE:
1.Откройте страницу Add ACE to MAC Based ACL (Добавление ACE в ACL, основанный на MAC-адресах).
2.Нажмите кнопку Show All (Показать все). Откроется страница ACEs Associated with IPACL (Записи ACE связанные с ACL, основанным на IPадресах).
3.Выберите ACE.
4.Установите флажок Remove (Удалить).
5.Нажмите кнопку Apply Changes (Принять изменения). Запись ACE, основанная на MACадресах, будет удалена, а устройство обновлено.
Назначение записей ACE, основанных на MAC-адресах, для списков ACL с помощью команд консоли
Рассмотрим следующий пример. Станция A подключена к порту 5, а станция B - к порту 9. Станции A соответствует MAC-адрес 00-0B-CD-35-6A-00 (ip-
адрес: 10.0.0.1 255.255.255.0). Станции B соответствует MAC-адрес 00-06-6B-C7-A1-D8 (ip-адрес: 10.0.0.2 255.255.255.0).
Чтобы реализовать список ACL на порте 5 и разрешить передачу трафика от станции A к станции B, введите следующие команды консоли:
permit source mac address destination mac address
permit 00-0B-CD-35-6A-00 0.0.0.0.0.0 00-06-6B-C7-A1-D8 0.0.0.0.0.0
Передается весь трафик, который соответствует ACL, остальной трафик не пропускается. (Есть дополнительный универсальный оператор deny all, вводимый в конце списка ACL.)
В приведенном выше примере станция A пытается отправить ICMP ECHO станции B. Передача ICMP выдает сбой, даже если она разрешена списком ACL, основанным на MAC-адресах. Проблема состоит в том, что станция А пытается отправить ICMP ECHO станции B, но ее записи нет в таблице ARP. Станция A пытается получить MAC-адрес станции B, запрашивая таблицу ARP. Такой запрос представляет собой широковещательный кадр с исходным MAC-адресом станции A (00-0B-CD-35-6A-00) и адресом широковещательной рассылки (FF.FF.FF.FF.FF.FF). Этот кадр отбрасывается без оповещения, поскольку он не соответствует списку ACL, который был настроен для порта 5.
Для решения этой проблемы пользователь должен ввести дополнительную строку permit, разрешающую использование широковещательного кадра:
permit 00-0B-CD-35-6A-00 0.0.0.0.0.0 FF.FF.FF.FF.FF.FF 0.0.0.0.0.0
ПРИМЕЧАНИЕ. Даже если пользователь намерен разрешить трафик с MAC-адреса A на MAC-адрес B, он не сможет передать простой трафик (например, ICMP), поскольку дополнительный широковещательный кадр не учитывается.
В следующей таблице приведены команды консоли, позволяющие присвоить записи ACE, основанные на MAC-адресах, спискам ACL, которые аналогичны действиям страницы Add ACE to MAC Based ACL (Добавление ACE в ACL основанный на MAC-адресах).
Команды консоли |
Описание |
|
|
mac access-list имя |
Создает списки ACL, основанные на MAC-адресах, на уровне 2 и |
|
включает режим настройки списка доступа, основанного на MAC- |
|
адресах. |
|
|
permit {any | {host источник маска_ввода_источника} any | {приемник |
Разрешает трафик, если соблюдены условия, определенные в операторе |
маска_ввода_приемника}}[vlan идентификатор-vlan] |
permit. |
|
|
deny [disable-port] {any | {источник маска_ввода_источника} any | |
Разрешает трафик, если соблюдены условия, определенные в операторе |
{приемник маска_ввода_приемника}}[vlan идентификатор-vlan] |
permit. |
|
|
Ниже приведен пример команд консоли: |
|
Console (config)# mac access-list dell
Console (config-mac-al)# permit 6.6.6.6.6.6 0.0.0.0.0.0 any vlan 4
Console (config-mac-al)# deny 6.6.6.6.6.6 0.0.255.255.255.255
Привязка списков ACL
Страница ACL Bindings (Привязки ACL) позволяет менеджерам сети назначать списки ACL для интерфейсов. Как открыть страницу ACL Bindings :
•Выберите пункты Switch > Network Security > ACL Bindings. Откроется страница ACL Bindings (Привязки ACL).
ПРИМЕЧАНИЕ. Списки ни на что не влияют, пока они не связаны с интерфейсом.
Страница ACL Bindings
На странице ACL Bindings (Привязки ACL) есть следующие поля:
• Select an Interface (Выберите интерфейс) - показывает интерфейс и его тип, к которому привязан список ACL. Возможные значения поля: